שומרים על ה-IT: שלושה צעדים פשוטים לעבודה היברידית מאובטחת

כתב: רואי לקנר, מהנדס מכירות וארכיטקט ענן בטרנד מיקרו.

השנה האחרונה אתגרה את המנמ"רים ומנהלי אבטחת המידע, המהווים "שומרי הסף" הארגוניים המרכזיים, שמגנים מפני פגיעה בנכסי הארגון, פגיעה בלקוחות, יצירת נזק תדמיתי או חידלון עסקי. גם בימים שבהם אנחנו נדרשים לעבוד מהבית, בשל מצב ביטחוני או אישי, חשוב לשמור על האיזון העדין של הגברת האבטחה הארגונית בעקבות ההתחברות מרחוק מבלי לפגוע בהמשכיות העסקית של הארגון.

אני רוצה לחלוק אתכם שלושה צעדים שכל ארגון חייב לאמץ על מנת לשמור על עצמו ובו בזמן לאפשר לעובדים את הגמישות לעבוד באופן היברידי לטווח הארוך:

הגנה על תחנות קצה זה לא מספיק
רוב פתרונות ה-EDR מתמקדים בתחנות קצה ארגוניות, כיוון שהן מהוות נקודות הגישה הכי קלות לארגון. עם זאת, באחרונה אנחנו עדים להתרחבות ההתקפות, הפיכתן למתוחכמות ומורכבות יותר, ובעיקר לבחירת יעדים על בסיס אישי ותפקיד בארגון. התוקפים משתמשים בכלל האמצעים הדיגיטליים שנמצאים ברשות היעד – בין אם בסביבת העבודה או בסביבה האישית. כאשר המידע מצוי במגוון מכשירים, עננים ואפליקציות, השליטה על המידע הארגוני, או יותר נכון לומר הדיכוטומיה בין המידע האישי לארגוני, הופכת להיות מאתגרת מאי פעם.

כשחתך התקיפה הגדול ביותר (94%) מכל סוגי המתקפות מגיע מהאימייל, אי אפשר להתעלם מנתון זה ולהתמקד ב-EDR לתחנות הקצה בלבד. הדבר נכון גם לעולמות השרתים, שכן אולי יותר קל להיכנס לתחנת הקצה, אבל היעדים הסופיים של רבות מההתקפות הם השרתים ובסיסי הנתונים הארגוניים – יותר מאשר תחנות הקצה. לכן, חשוב לא פחות להשקיע גם שם. עבור מעגל הרשת, כלי הנראות (Visibility) והאכיפה הכרחיים על מנת שמנהלי האבטחה והמנמ"רים יוכלו להבין את המתרחש ברשת הארגונית.

אנחנו, בטרנד מיקרו, מבינים שהגנה על תחנות הקצה הן רק חלק מהסיפור. פלטפורמת ה-Vision One שלנו לוקחת את יכולות ההגנה והתחקור של תחנות הקצה, מעצימה אותן לעולמות המייל, הרשת והשרתים, ומספקת מענה מקיף וגמיש לצרכי הארגון.

צמצום רעשי הרקע לקבלת התמונה המלאה
אין ספק שהעבודה מרחוק מקשה על נראות בתוך הרשת והמחסור בכוח אדם תורם לעומסים רבים על הצוותים המקצועיים. אחת הבעיות שממנה סובלים צוותי ה- IT היא שרשרת ההתראות הבלתי פוסקת שהארגון "זוכה" לה. זו האחרונה מקשה באופן משמעותי על העבודה והמערכות או, גרוע מכך, גורמת לנרמול הרגישות.

היכולת שלנו, בטרנד מיקרו, היא כפולה: לתת לעובד גמישות עבודה מכל מקום – ולא להעמיס על צוותי ה-IT עבודה נוספת בשל כך. לכן, הגדולה של פלטפורמת ה-Vision One שלנו היא היכולת לאסוף ולתכלל את כל האירועים מכל ה-ורטיקלים, לרבות מייל, שרתים, רשת ותחנות קצה.

Vision One יכולה להרכיב את כל חתיכות הפאזל ובו בזמן לתכלל את רצף האירועים, כלומר – להצביע על הקשר בין הדברים השונים שקרו. למשל, אם עובד קיבל אימייל, המערכת תדע להצביע על מידעים נוספים רלוונטיים מעבר למקרה הספציפי: לדוגמה, מהי ההתקפה שהגיעה בקובץ, עוד כמה אנשים קיבלו אותו וכדומה. כל הפרטים מסופקים לאנליסט כדי שיצליח להבין מה כולל האירוע בכל אחד מהרבדים ב-IT.

תחקור מכל מקום
היכולת לבצע תחקור מעמיק, מהימן ומקיף, שכולל את כל מקורות הארגון בכל מקום שבו מתקיימת פעילות, מעניקה לארגון גמישות רבה בגישה לניהול נכסי אבטחת המידע שלו. לצד זאת, חשוב לבצע התאמה אישית של מערכות ההגנה לארגון ולא ההיפך (כלומר, לא להתאים את ההתנהגות הארגונית למערכות ההגנה), ולאפיין את שלל ההתראות על פי קריטריונים שרלוונטיים לארגון.

פלטפורמת ה-Vision One של טרנד מיקרו מאפשרת לארגון לא רק לבצע תחקור אחרי ניסיון פריצה, אלא גם להתריע מבעוד מועד על התנהגות חריגה. בנוסף, ניתן להזין למערכת ההגנה אינדיקטורים רבים, כמו, למשל, של מערך הסייבר הלאומי, וכך להעשיר את בסיס הנתונים במידע הרלוונטי באופן ספציפי לארגון. זאת, כמובן, לצד עדכונים רלוונטיים מהזירות האזורית והבינלאומית, המוזנים באופן אוטומטי לפלטפורמה. יכולת זו הופכת את הזיהוי והניטור לאיכותיים הרבה יותר, ומבטלת את משמעות המרחק הגיאוגרפי.